LockBit 3.0ランサムウェア攻撃の検出：Microsoft Defenderを悪用したCobalt Strikeビーコンの展開

LockBit の脅威アクターは、サイバードメインで最近注目を浴びています。2022年7月、このハッカー集団は 史上初のバグバウンティプログラム をランサムウェアグループとして立ち上げて注目を集めました。最近のサイバー攻撃では、この悪名高いランサムウェアグループが、正規のMicrosoft Defenderのコマンドラインユーティリティを悪用してCobalt Strikeビーコンをターゲットシステムに展開しながら、一連の分析回避技術を使用して検出を逃れています。

LockBit攻撃の検出: Microsoft Defenderを悪用して展開されるCobalt Strikeビーコン

2022年6月に登場して以来、LockBit 3.0 (別名 LockBit Black) ランサムウェアバージョンは、世界中の企業に増大する脅威をもたらしています。この新しいストレインは、次の感染率を高め、RaaSリングのアフィリエイトの利益を確保するための新しい戦術を駆使しています。最新のLockBitキャンペーンに関連する悪意のある活動を特定するために、SOC Prime TeamはMicrosoft Defenderの悪用をCobalt Strikeビーコンのサイドロードに向けて検出するためのキュレートされたSigmaルールをリリースしました。

可能なMpClient.dllハイジャック（image_load経由）

この検出は20のSIEM、EDR、およびXDRプラットフォームへの変換をサポートしています。ルールは MITRE ATT&CK®フレームワーク v.10にマッピングされており、主な技法としてDLLサーチオーダーハイジャッキング（T1059）で防御回避戦術に対応しています。

新たな脅威を検出するために独自のSigmaルールを作成し、世界をより安全な場所にすることに意欲的ですか？私たちの 脅威バウンティプログラム に参加し、Sigmaベースの検出アルゴリズムを共有して寄与に対する報酬を受け取りましょう。

LockBitハッカーに関連する任意のランサムウェアストレインを検出するためのSigmaルールの完全なリストは、すべて登録済みのDetection as Codeプラットフォームユーザーが利用できます。ただ「Detect & Hunt」ボタンを押して、Threat Detection Marketplaceリポジトリからの特定のアルゴリズムリストにアクセスしてください。未登録ユーザーは、MITRE ATT&CKコンテキストおよびCTIリンクと共に関連するSigmaルールにアクセスするために、私たちのサイバー脅威検索エンジンをチェックできます。「Explore Threat Context」ボタンを押して、コンテンツ検索を簡素化してください。

Detect & Hunt Explore Threat Context

LockBitランサムウェアの攻撃を分析：最新のキャンペーンでCobalt Strikeビーコンをサイドロード

LockBit 3.0 （別名 LockBit Black）は、次の反復としてサイバー脅威の舞台に再登場しました。 LockBit RaaSファミリー は、より洗練された機能を備え、反分析および反デバッグ技術のセットを特徴付けています。LockBitオペレーターによるRaaSモデルを活用した敵対活動は2019年に遡り、適用された悪意のあるストレインの迅速な進化とツールの拡充がされています。2020年から2021年にかけて、LockBitは様々な攻撃ベクトルと敵対技術を利用して感染を拡げる最も活発で悪名高い悪意のあるストレインの一つとしてランクインしました。通常、ランサムウェアメンテナはフィッシングメール攻撃ベクトルを使用して侵害された環境に初期アクセスを取得し、その後、横展開を行い感染プロセスを進めます。2021年6月に、このランサムウェアグループはアップグレードされたバージョン LockBit 2.0をリリースし、未修正の脆弱性、ゼロデイ攻撃、および幅広い敵対的TTPを活用しました。

悪名高いRaaSオペレーションの最新の反復は、Microsoft Defenderのツールを悪用して、侵害されたシステムにCobalt Strikeペイロードを展開します。LockBit攻撃チェーンは、悪意のある Log4Shell脆弱性 のVMWare Horizonサーバー上でのエクスプロイトを通じて初期アクセスを得て、PowerShellコードを実行し始めます。必要なユーザ権限を得た後、攻撃者はポスト・エクスプロイトツールを起動し、Cobalt Strikeビーコンをロードしようとします。正規のMicrosoft Defenderコマンドラインユーティリティ MpCmdRun.exe は、悪意のあるDLLファイルをサイドロードするために適用され、ペイロードを復号化して展開します。

Living-off-the-Landツールを使用して敵対的ツールキットを拡張するLockBitランサムウェアオペレーターにより、これほどのスケールと洗練された巧妙なランサムウェア攻撃を迅速に検出するには、サイバー防御者の細心の注意が必要です。 SOC Prime のDetection as Codeプラットフォーム は、サイバーセキュリティ専門家が脅威検出能力をスムーズに向上させ、脅威ハンティングの速度を増加させることを可能にし、常に現在および新たなランサムウェア攻撃に先んじています。経験豊富なDetection EngineerやThreat Hunter、もしくは志望者は 脅威バウンティプログラム に参加し、検出コンテンツを通じて共同エクスパティーズを豊かにし、彼らの投入を貨幣化し、サイバー防御の未来に寄与するよう促されています。